Amazon Web Servicesにおける監視・監査の管理手法
1.はじめに
1.1 IT環境の変遷
企業におけるITシステムは時代とともに進化を遂げてきており、今後も進化を続けることは容易に予測される。従来、ITサービスは必要なものは「作る」ことにより実現していた。その後、コモディティ化されたパッケージソフトウェアの出現により「買う」時代が到来した。さらに、ダウンサイジングやオープンシステム化、インターネットの普及を経て、現在は仮想化技術の進歩を背景とした「利用する」時代が到来している。
「作る」時代、「買う」時代において、提供されるITサービスはすべてシステム管理者の影響力の範囲内である自社設置またはデータセンターで提供されてきた。しかし、「利用する」時代のITサービスのホスト先は自社外が多数を占める傾向にある。また、この流れは今後さらに加速していく傾向が強く、企業ITには迅速に対応することが求められる。
1.2 オンプレミスとパブリッククラウドの違い
企業ITシステムにおけるオンプレミスとパブリッククラウドの違いについて表1-1に示す。
「利用する」時代においてはITシステムのホスト先としてはパブリッククラウドの利用が大きな割合を占めていくことになる。通常、企業がITシステムを構築する際には予算化された投資のもとサービスの拡充を行うが、パブリッククラウドでは企業の投資とは関係なく最新の技術、機能が随時拡充されている。利用する側にとっては少ない投資で新しい技術や機能を利用できる点は非常に魅力的である。
一方で、IT管理者がインフラ業務として対応する範囲は非常に狭くなる。自社でインフラ管理を行う場合には、ファシリティからアプリケーションまでIT管理者が自由に管理作業を行っていたが、パブリッククラウドでは複数の顧客が同居するホストOS部分をクラウドベンダーが管理する形態を取っているため、IT管理者が対応できる範囲が例外なくクラウドベンダーとの契約によって定められた非常に限定的な範囲となる。結果として、IT管理者は企業ITシステムの管理における責任範囲についての十分な理解が必要となる。
パブリッククラウドの活用においては、オンプレミスで実施してきた従来の管理手法とは異なる方法によって管理・運営することが求められる。
表1-1 オンプレミスとパブリッククラウドの違い
| # | 名称 | インフラ管理の主体 | 最新アーキテクチャ活用 | 課金体系の柔軟性 | IT管理者の対応範囲 |
|---|---|---|---|---|---|
| 1 | オンプレミス | 自社 | 自社での調査・検証が必要 | 初期投資が必要 | 広い |
| 2 | ホスティングベンダー | ベンダーとの調整が必要 | やや広い | ||
| 3 | パブリッククラウド | クラウドベンダー | 新クラウドサービスとして利用が可能 | 従量課金によりスモールスタートが可能 | 狭い |
1.3 本稿のゴール
上述の通り、パブリッククラウドの導入には柔軟性や新技術・機能の活用など魅力的な側面がある一方、企業ITシステムにおける高い要件に適合した管理運営が行えるか不安を感じることも事実である。
本稿においてはパブリッククラウドサービス市場で圧倒的なシェアを誇るAmazon Web Services(以下、AWS)を利用した企業ITシステムの監視・監査における管理手法に焦点を当て、実証を行う。
2.企業ITシステムの監視・監査
2.1 一般的な監視・監査対象
企業ITシステムにおける監視、監査の対象は広範囲にわたるケースがほとんどである。一般的な監視、監査対象について表2-1に示す。
表2-1 企業ITシステムにおける監視・監査対象
| # | 監視・監査対象項目 | 説明 |
|---|---|---|
| 1 | ファシリティ | 消費電力/温度の監視、入退室の管理 |
| 2 | ネットワーク | ネットワークのスループット、不正パケットなどの監視 |
| 3 | ハードウェア | ITシステムを構成する各種機器の監視 |
| 4 | OS | OSが管理するプロセスの稼働状態・性能情報、出力ログなどの監視 |
| 5 | ミドルウェア | 各ミドルウェアのプロセスの稼働状態・性能情報、出力ログなどの監視 |
| 6 | アプリケーション | アプリケーションのプロセス稼働状態、性能情報、出力ログなどの監視 |
| 7 | 操作履歴 | アカウント管理、リソース操作の監視・管理 |
2.2 オンプレミスとパブリッククラウドの監視・監査
オンプレミス上の企業ITシステムでは、上記の監視・監査項目に対する検討が必要であったが、パブリッククラウドを利用することにより、IT管理者による対応が必要な監視・監査項目に変化が生じている。オンプレミスとパブリッククラウドの監視・監査対象の違いについて表2-2に示す。
表2-2 オンプレミスとパブリッククラウドの監視・監査対象の比較
| # | 監視・監査対象項目 | オンプレミス | パブリッククラウド |
|---|---|---|---|
| 1 | ファシリティ | 必要 | 不要 ※クラウドベンダーが対応 |
| 2 | ネットワーク | 必要 | 必要 |
| 3 | ハードウェア | 必要 | 不要 ※クラウドベンダーが対応 |
| 4-1 | ホストOS | 必要 | 不要 ※クラウドベンダーが対応 |
| 4-2 | ゲストOS | 必要 | 必要 |
| 5 | ミドルウェア | 必要 | 必要 |
| 6 | アプリケーション | 必要 | 必要 |
| 7 | 操作履歴 | 必要 | 必要 |
3.クラウドサービスの監視・監査
3.1 AWSにおける監視・監査機能
AWSのサービス提供が開始された当初は、AWSリソースの監視を行うためにオンプレミスのシステムと同様に、ゲストOSに監視エージェントを導入するなど、監視システムを構築する必要があった。
監査証跡(クラウドの構成変更、操作などの記録)に至っては、操作記録を取得する機能はなく、サポートへの問い合わせにより入手するといった状況が一般的であった。
しかし、ここ数年の間でAWSサービスのほとんどの監視項目(Metrics)の取得が可能となり、監査証跡に関しても、AWSサービスに対する操作/変更の履歴が記録できる機能が実装された。
このようにオンプレミスと同等以上の監視・監査の機能が装備されたことにより、現在では個人情報や機密情報を取り扱う企業ITシステムのクラウド利用拡大の一翼を担う状況となっている。
